初探计算机网络安全的防火墙技术

李哲文

摘 要：目前计算机网络已经在社会上广泛流行，这是计算机发展过程中可喜的一大步。但是随着计算机网络的出现，病毒也应运而生。尤其是因特网的迅猛发展，病毒的传播、黑客的攻击和系统漏洞给计算机网络带来很大的威胁，人们越来越意识到计算机网络的重要性。本文就计算机网络安全的防火墙技术进入探讨，提出了自己的见解与看法。

关键词：计算机网络安全 防火墙技术

首先在这里介绍计算机网络安全的相关概念：从狭义的保护的角度来看，计算机网络安全是指计算机及其网络系统资源和信息不受自然和人为有害因素的威胁和危害，从广义来说，凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。

所谓计算机网络安全的保密性、完整性、可用性、真实性和可控性，是指计算机网络安全所具有的特征。

一、影响计算机网络安全的主要因素

1.来自操作系统或应用系统方面的因素

目前所使用的操作系统都存在不同程度的安全问题和系统漏洞，应用系统方面也是如此。

2.黑客攻击的因素

由于技术本身的局限或防火墙错误配置等原因，仍然很难保证这一网络不遭受黑客攻击。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。

3.病毒的因素

计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、是网络效率急剧下降，甚至造成计算机和网络系统的瘫痪，是影响计算机网络安全的主要因素。

4.设备受损的因素

设备损坏主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站和电源等。

5.管理方面的因素

计算机网络安全涉及的技术很多也很复杂，但除此之外，与之相关的管理也显得相当重要，管理的科学与否直接关系到网络的安全性强弱。

综上所述，计算机网络安全问题确实不容小视，因而制定相应的计算机网络安全策略显得相当重要，安全策略的类型有很多，包括物理安全策略、访问控制策略、数据加密策略、防火墙控制策略等。在这里我主要介绍防火墙控制策略。

二、防火墙的主要技术

防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统，用来限制外部非法用户访问内部网络资源，通过建立起来的相应网络通信控制系统来隔离内部和外部网络，以阻挡网络的侵入，防止偷窃或起破坏作用的恶意攻击。

狭义的防火墙是指安装了防火墙软件的主机或路由器系统，广义的防火墙还包括整个网络的安全策略和安全行为。防火墙技术是任何企业昀基本的安全技术，主要包括以下几个方面：

1.包过滤技术

包过滤技术是在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则有称为访问控制表（ACLs）。该技术通过检查数据流量中的数据中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。这种防火墙通常安装在路由器上。

2.网络地址翻译

网络地址翻译昀初的设计目的的是增加在专用网络中可使用的 IP地址数，但现在则用于屏蔽内部主机。 NAT通过将专业网络中的专业 IP地址转换成在 Internet上使用的全球唯一的公共 IP地址，实现对黑客有效的隐藏所有 TCP＼IP级的有关内部主机信息的功能，使外部主机无法探测到它们。

NAT实质上是一个基本的代理：一个主机充当代理，代表内部所有主机发出请求，从而将内部主机的身份从公用网上隐藏起来了。

3.应用级代理

开发代理的昀初目的是对 Web进行缓存，减少冗余访问，但现在主要用于防火墙。应用级代理中的请求重新生成的过程和代理和位于内部网和外部网之间的事实提供了许多的安全优点，同时也存在不少隐患。

（1）代理隐藏了私有客户，不让他们暴露给外界。如同 NAT，代理服务器防止外部主机对内部机器上服务的连接。但不便的是，客户必须使用代理才能工作。

（2）代理能阻断危险的 URL。但因为 WEB站点可被轻易地根据它的 IP地址或整个地址号来进行简单的寻址，所以阻断 URL也容易被消除。

（3）代理能在危险的内容如病毒和特洛伊木马等传送给客户之前过滤掉它们，但是代理无法保护操作系统。

（4）代理能检查返回内容的一致性。但大多数一致性检查都是在发现有被利用的弱点后有效。

（5）代理能消除在网络之间的传输层路由。使用代理可使 TCP＼IP包不能真正在内部网和外部网之间传输，并且可以防止大多数的服务拒绝和利用软件弱点的攻击。但协议存在是因为没有好的代理服务，阻断路由功能通常使用得不充分。

（6）代理提供了单点的访问、控制和日志记录功能。代理保证所有内容都通过单一点，此点称为检查网络数据的检查点。

三、防火墙的分类

1.按技术分类

根据采用的技术：防火墙分为三种基本类型，即包过滤型、代理型和监测型。

（1）包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的包传输技术，网络上的数据都是以“包”为单位进行传输的，防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。

（2）代理型

代理型防火墙也称为代理服务器，其安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户器与服务器之间，完全阻挡了二者间的数据交流。从结构上看，代理服务器由代理的服务器部分和代理的客户机部分组成。从客户器来看，代理服务器相当于一台真正的服务器，而从服务器来看代理服务器又是一台真正的客户机。

（3）监测型

监测型防火墙是一新一代的产品，它实际已经超越了昀初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测。并在对这些数据分析的基础上，能够有效地判断出各层中的非法入侵。

2.按结构分类

目前，按结构可分为简单型和复合型。简单型包括只使用屏蔽路由器或者作为代理服务器的双目主机结构；复合结构一般包括屏蔽主机和屏蔽子网。

（1）双目主机结构

双目主机结构防火墙系统主要由一台双目主机构成，具有两个网络接口，分别连接到内部网和外部网，充当转发器。

（2）屏蔽主机结构

双目主机结构提供来自于多个网络连接的主机服务，但是路由关闭，否则从一块网卡到另一块网卡的通信会绕过代理服务软件。

（3）屏蔽子网结构

屏蔽子网结构防火墙是通过添加隔离内外网的边界网络为屏蔽主机结构增添另一个安全层，这个边界网络有时候称为非军事区。壁垒主机是昀脆弱的、昀易受攻击的，通过隔离壁垒主机的边界网络 ，可减轻壁垒主机被攻破所造成的后果。

四、结束语

网络的迅速发展，给我们的工作和生活带来了巨大的改变。在网络日益复杂化、多样化的今天，安全受到人们越来越多的关注。如何保护各类网络和信息的安全，成为人们研究的焦点，其中防火墙是运用非常广泛和效果昀好的选择。但是，防火墙技术也有它的不足之处，为了更好的维护网络安全，还需要其他的技术相结合，以及更先进的技术发现。